Voglio eseguire una piccola ricerca del server SQL nel mio progetto Web ASP.NET, il mio database non è grande quindi penso che sia meglio non utilizzare la ricerca full-text Voglio eseguire una semplice ricerca come questa:Query che utilizzano i caratteri jolly LIKE nel server sql
select * from mytable where columnA LIKE '%something%'
posso usare = nel seguente modo:
select * from mytable where columnA='"+myVariable+"'
ma come posso usare una variabile anziché %something%
in LIKE frase? è corretto? LIKE '"+%myVariable%+"'
???
Io uso VS2010, C#
grazie
Corretto ma anche molto negativo. La concatenazione di stringhe per rendere dichiarazioni SQL può lasciarti completamente aperto all'iniezione SQL. Supponendo che myVariable abbia valore ''; drop table mytable;'? Esamina le query parametrizzate o una delle varietà Linq per l'interazione con un DB – spender
@spender: la convalida della sicurezza deve essere eseguita prima dell'esecuzione di una query, quindi questa non è una questione di query stessa – sll
@sll Non la compro. È difficile "stringere la sicurezza" stringhe che verranno mescolate in istruzioni SQL. È meglio semplicemente non farlo. – spender